下载掌阅APP,畅读海量书库
立即打开
通过前文内容可知,威胁本身很难穷举,就算归类也仍然无法把所有威胁都涵盖进来。虽然一种手段未必只能缓解一种威胁,但缓解威胁的手段也无法通过一节的篇幅一网打尽。本节将会通过图1-7所示的企业网来介绍各类威胁和缓解威胁的手段应该部署在企业网中的什么位置,以帮助读者对缓解威胁的手段有一个宏观的了解,为后面具体介绍安全防御的内容做好铺垫。
注释: 为了避免混乱,我们省略了拓扑中的连线。
图1-7 企业网示意图
图1-7所示为一个标准的企业网,企业网中各个部分的浅色设备均通过两条链路连接到核心层的两台交换机,企业网通过Internet边缘路由器连接到互联网,通过广域网连接到企业的其他分支机构。当然,这样的分支机构很可能不只一个。
下面介绍这个企业网中各个模块的常见缓解措施。
企业网接入层和分布层如图1-8所示。
图1-8 企业网接入层和分布层
在图1-8所示的环境中,网络设备主要以多层交换机、第2层交换机、IP电话和无线接入点为主,除此之外就是企业网中的用户设备。在这样的环境中,需要部署的缓解措施包括(但不限于)如下5项。
核心层设备的主要作用是执行数据转发。作为连接企业网内外的流量转发设备,它的性能对这个企业网的用户体验关系很大。原则上,核心层设备上不应该配置过多过于复杂的安全策略,让这些安全策略占用设备过多的计算资源。不过,核心层也有可能遭到DoS/DDoS攻击,也有可能受到错误路由协议信息的影响,所以,下面这些同样会部署在接入层和分布层的策略,也可以部署在核心层设备上:
企业网数据中心的示意图如图1-9所示。
图1-9 企业网数据中心的示意图
企业网数据中心主要提供数据的存储和计算功能,并利用企业网数据中的交换机对数据进行转发。这样的环境同样容易受到DoS攻击。除此之外,数据中心内部的服务器也有可能遭到非法的访问,它们的系统有可能会受到病毒的侵扰,这些系统的漏洞有可能会给攻击者带来可乘之机。因此,在企业网数据中心交换机上,应该:
此外,计算设备也应该:
Internet边缘如图1-10所示。
图1-10 Internet边缘
顾名思义,Internet边缘是企业网面向不可靠网络的第一道屏障。在这个位置上,会发生任何可行的网络攻击。通常来说,企业会在这个区域部署防火墙或者可以提供防火墙功能的网络基础设施。这些防火墙需要:
需要说明的是,本节仅仅提到了缓解安全威胁的策略,并没有介绍这些策略的工作原理。不仅如此,本节提到的所有缓解威胁的策略,都只是针对数据平面和控制平面的保护策略,针对管理平面的安全策略在这里没有提到。显而易见的是,如果不对管理设备的访问提供充足的保护,让攻击者可以随意作为管理员接入网络设备,那么在这些设备上配置多少安全策略都无异于开门揖盗。因此,本节只是套用企业网解决方案,对缓解威胁的方式进行一个大致的说明,旨在让读者对安全威胁的各类应对策略有一个大致的印象。具体的威胁安全策略原理,以及如何保护设备的管理访问,后面都会通过专门的章节进行介绍。